La dinámica de “Internet of Things” (IoT) nos muestra el progreso diario de la digitalización. Cada vez más dispositivos están conectados a Internet, lo que proporciona a los usuarios comodidad y eficiencia. El mercado está constantemente lleno de nuevos dispositivos y la variedad de funciones hace que su uso sea atractivo para muchos usuarios. Hoy en día existe una enorme red de datos, servidores y dispositivos inteligentes en red, lo que, sin embargo, representa un nuevo y sobre todo enorme objetivo para los ciberdelincuentes debido a las lagunas de seguridad no pensadas de estos dispositivos.

El malware Mirai explotó precisamente esta debilidad: En octubre de 2016, el virus botnet se hizo ampliamente conocido por primera vez debido al mayor ataque DDoS lanzado hasta la fecha, incluido el proveedor de DNS «Dyn». Como resultado, los sitios web y servicios de muchas corporaciones internacionales, incluyendo Amazon, Netflix y Spotify, no estuvieron disponibles durante mucho tiempo. Para las empresas esto puede significar una pérdida de cantidades millonarias. ¿Qué hay exactamente detrás del malware que aprovecha las debilidades del progreso tecnológico?

El surgimiento de la super botnet

2016 no fue la primera vez que un botnet del IoT nos «golpeó»: según el periodista independiente de seguridad Brian Krebs de “krebsonsecurity.com”, han existido predecesores similares a Mirai desde 2014, conocidos como Bashlite, Gafgytm, QBot, Remaiten y Torlus. El código del bot de Mirai fue creado a partir de los códigos mejorados de sus predecesores, compilados por varios desarrolladores. Fue finalizado por un grupo de hackers que unieron sus fuerzas en 2014 y lanzaron ataques DDoS contra servidores Minecraft de la competencia bajo el seudónimo de «lelddos» utilizando la red de bots Mirai para ralentizarlos o desconectarlos, lo que costó mucho dinero a sus operadores.

Mirai fue programado para eliminar el malware de los dispositivos de IoT ya infectados, y finalmente tomar el control de sí mismo. Los dispositivos infectados, a su vez, buscaron otros dispositivos vulnerables para tomar el control. A medida que aumentaba el número de productos de IoT controlados por Mirai, la red de bots crecía y los hackers probaban objetivos más grandes. En septiembre de 2016, la empresa de hosting francesa OVH fue víctima de un ataque DDoS con una capacidad total de hasta 1,5 terabits por segundo.

 

Poco después de este ataque, uno de los co-desarrolladores de Mirai, publicó el código fuente del malware online bajo el nombre «Anna-Senpai». De este modo, el autor permitió que muchos hackers copiaran y desarrollaran el código. La liberación provocó un rápido aumento de falsificadores que utilizan sus propias redes de bots Mirai. La cantidad de nuevas variaciones de Mirai hizo mucho más difícil el rastreo de las personas responsables. Pero sólo unos meses después, el FBI localizó a tres jóvenes estadounidenses.

El 5 de diciembre de 2017, los hackers se declararon culpables ante un tribunal de Alaska, de haber desarrollado el malware y haberlo fusionado en una red de bots para perjudicar a las empresas y a «otros objetivos». Según los documentos de la corte, el grupo criminal cibernético también planeó ganar dinero con su propia oferta de DDoS-as-a-Service y como extorsionador de protección. Para escapar del encarcelamiento, los entonces jóvenes de 21 y 22 años acordaron ayudar al FBI a resolver complejas investigaciones de delitos cibernéticos. Sin embargo, la sentencia incluía un período de prueba de cinco años, 2.500 horas de servicio comunitario y 127.000 dólares en reembolsos. Aunque los desarrolladores del malware criminal se mantienen “en la mira”, el código sigue en circulación y puede ser reutilizado, convertido y mejorado por otros hackers.

El regreso de Mirai

En marzo de 2019, los expertos en seguridad descubrieron una nueva variante de Mirai, que se dirige principalmente a los dispositivos de IoT dentro de las empresas. Los ciberdelincuentes esperan que esta aumente aún más su poder de ataque, a medida que obtengan acceso a un mayor ancho de banda a través de las redes corporativas. La nueva versión de Mirai incluye varias características adicionales, entre ellas 11 exploits adicionales, con lo que el número total de exploits asciende a 27. Estas características adicionales dan al software una superficie de ataque aún mayor. El malware se propaga principalmente a través de sistemas de presentación, televisores inteligentes, routers y cámaras IP.

Se aconseja a las empresas que cambien las credenciales de los dispositivos de IoT que utilizan y que tengan en cuenta la seguridad de estos dispositivos en su estrategia de seguridad informática.

Esta evolución muestra la incertidumbre a la que se enfrentan los dispositivos de IoT en el mundo digitalizado: el factor de seguridad es crucial tanto para las empresas como para los usuarios. Un estudio de la Berkeley School of Information y el Center for Long-Term Cybersecurity (CLTC), determinó el coste total que significaba para los consumidores – mediante el hackeo de un dispositivo inteligente – el consumo de energía adicional que supondría la implicación de dicho dispositivo en un ataque cibernético: Por ejemplo, el coste combinado del ataque a Dyn en octubre de 2016, fue de aproximadamente 115.000 dólares para los usuarios de la IoT. En el peor de los casos, la calculadora da como resultado una suma de unos 68 millones de dólares, convertidos en más de 100 dólares por usuario, para un ataque DDoS con 600.000 dispositivos IoT implicados.

Aumento de los ataques DDoS

La superficie de ataque adicional, que se expone de la muy débilmente protegida “Internet of Things”, también se nota en el creciente número de ataques DDoS a las empresas.

Mientras que hace tres años todavía había alrededor de 9.000 ataques por trimestre en la infraestructura corporativa y servidores en la región DACH (Alemania, Austria y Suiza) el número de ataques ha ido aumentando de año en año.

En el primer trimestre de 2019 se registraron 11.177 ataques DDoS sólo en Alemania, Austria y Suiza. Pero no sólo el número de ataques está en alza, el volumen también está creciendo significativamente. Según el informe Link11 DDoS Report Q1 2019, el mayor ataque de DDoS en los países de habla alemana, alcanzó un volumen de 224 gigabits por segundo. Con un aumento del 70 por ciento en comparación con el mismo periodo del año pasado, el ancho de banda medio promedio de este trimestre ya era de 3,8 Gbps. “Internet of Things” contribuye de manera significativa al aumento del rendimiento de los ataques, un hecho que lleva una vez más la seguridad cibernética a otro nivel.